城商行內部審計實施信息系統內部控制的實踐探討

周云松

【摘要】本文從信息系統給銀行業發展帶來的機會和挑戰入手，詳細分析了樹立合作伙伴關系的審計理念，跳出“唯技術論”和“無技術論”的審計誤區，倡導全員參與的信息系統風險防范機制的信息系統審計基本思路，從事件推動建立內部控制體系，善于借助外力，抓住審計重點，完善例會制度等審計步驟總結了實際工作中開展信息系統審計的方法，是對審計實踐的理論探討和總結。文中最后引出了信息系統審計與信息科技風險審計關系及下一步研究重點。

【關鍵詞】內部審計 內部控制 信息系統

一、引言

20世紀80年代后期開始的金融電子化浪潮到今天已經有30多年的時間。30多年來，從單一記賬系統發展為以銀行核心綜合業務系統為核心，涵蓋了渠道流程管理、產品管理與交付、客戶價值管理、知識管理、風險與審計控制、全方位的銀行IT體系，跨越了整個銀行業務價值鏈；從單純的集中式柜臺交易錄入到實現所有渠道的整合，集互聯網、移動平臺、自助服務為一體的綜合渠道交付體系；從面向銀行內部交易系統發展為面對客戶、可訂制的、結合各種渠道流程定義的客戶服務交付平臺。信息科技對銀行業的發展功不可沒、成績斐然。可以說，沒有IT，沒有IT的支撐，就沒有現代銀行業。

但是，近年來，銀行業信息科技安全事件頻頻發生，如某行因主機監控軟件存在缺陷，導致業務交易阻塞，系統癱瘓近四個小時，所有營業網點無法正常開展業務；某行對計算機系統進行升級，但由于沒有避開業務高峰期，導致個人業務系統運行不暢，業務辦理速度緩慢，部分代理證券業務受阻，在持續五個半小時之后，系統才逐步恢復正常；某行股民保證金第三方存管系統出現故障，與券商的交易無法正常進行，事故持續了兩個小時，在證券交易收盤后才恢復正常等等。這些安全事件對實施信息系統內部控制審計帶來了巨大的挑戰，一是銀行業金融機構之間的差異性大，用一個標準衡量，既不利于大銀行的信息安全保障，也不利于小機構的發展；二是我國銀行業走向開放，越來越多地參與國際合作，面臨越來越多來自資本市場、會計準則和信息披露要求等方面的嚴峻挑戰；三是核心信息技術過度依賴國外產品；四是信息系統安全測評不到位；五是國內審計力量單薄；六是信息系統開發主要依靠外包，外包方有變數；七是銀行業新資本協議的實施對系統產生的新要求。

結合在實際審計工作中，內部審計在實施信息系統內部控制審計時的一些做法，歸納總結出來以供與同行共同探討。

二、實施信息系統內部控制審計的基本思路

（一）要樹立合作伙伴關系的審計理念

樹立合作伙伴關系的理念有助于減少審計阻力，以便順利開展審計工作。城商行內部審計部門開展信息系統內部控制審計的目的是為了全面提升信息科技風險的管理水平，保障銀行系統安全穩定運行，這點和信息技術部門的管理目標是一致的。在現場審計中，應善于適時傳導合作伙伴關系的理念，以合作伙伴的身份與審計對象展開對話，從審計的視角去看待風險管理，始終圍繞全面提升銀行信息科技風險防控能力的目的來開展審計工作，與信息技術部門自身防范風險、穩健運行的渴求達成一致，這樣審計工作才能開展得比較順暢。在樹立合作伙伴關系上，一是應利用各種場合（進場、離場會談，平常訪談和日常交流等）傳導審計理念，盡可能的獲得支持和理解；二是在審計中應善于適時提出一些能提升銀行管理能力、業務水平等相關的好的建議，這樣更容易引起共鳴，得到認同；三是應善于發現科技工作的亮點和好的做法，并適時予以肯定。

（二）跳出“唯技術論”和“無技術論”的審計誤區

信息系統審計是一項專業性很強的工作，它涉及信息科技技術的多個領域，它要求審計人員掌握一定的科技知識和操作經驗。因此，很多監管工作者常常陷入“就技術論技術”的誤區，經常與被審計機構糾纏于一些技術的細枝末節，如加密算法的安全性、程序代碼的漏洞等，希望能通過技術手段找出風險點。然而與信息技術部門的IT人員比拼技術實非明智之舉，因為現場檢查工作沒有足夠的時間讓審計人員去研究算法、查看源代碼；更重要的是，在追逐技術方面的漏洞時會忽視管理方面存在的風險，這是一種舍本逐末的行為。俗話說：三分技術，七分管理。對于風險防控來說，管理是基礎，技術是輔助，切不能本末倒置。

另一方面，部分審計人員認為信息系統審計可以完全不需要技術背景，只要有一套詳細、完整、全面的檢查手冊就可以“一冊在手，萬事無憂”。這種觀點也是不可取的，因為信息系統涵蓋的范圍太廣，包括需求分析、項目管理、質量控制、系統測試等等，單單一本檢查手冊是根本不可能涵蓋所有的檢查細節。對于不同信息系統，現場情況千差萬別，在現場檢查中要具體問題具體分析，在檢查方式方法上要不斷求變求新。在面對一些疑點時，不僅要了解技術層面的基本原理，更要去深究技術背后對應的管理措施，要時刻保持一種高度的敏感性，面對一些類似的或存在關聯的事件時，可以嘗試將事件串聯起來，透過獨立的事件去看待整體，透過事件本身去關注管理，積極探尋、掌握證據，才有可能發現一些重大的風險問題。

（三）倡導全員參與的信息系統的風險防范機制

談到信息系統風險，許多人都會覺得信息系統風險就是IT部門的事情，業務部門無需參與其中，然而事實卻并非如此。一方面隨著銀行電子化的程度越來越高，業務部門對信息科技的依賴也越來越大，信息科技帶來的風險也與日俱增。另一方面信息系統風險防范體系好比一個木桶，木桶中水位的高低不在于最長那塊木板的高度，而在于最短那塊木板的高度。而在實際工作中，正所謂“無知者無畏”，業務部門工作人員的一個簡單操作就可能導致銀行在整個安全體系建設方面的努力付之東流。

在防范信息系統風險時，眼睛不能只盯IT部門，要有全員參與的意識，把各部門都納入全行整體的風險防范體系，找出其中的“短板”。一是要關注信息系統規劃與業務規劃的融合程度，業務部門對系統規劃的關注和參與程度；二是系統建設過程中業務部門的參與程度，業務部門提出業務需求的合理程度；三是與銀行整體業務連續性結合起來，關注銀行整體業務連續性規劃中業務部門的職責定位是否明確，業務部門在業務連續性規劃的制定、演練以及實施過程中的是否切實履行自己的職責。

三、實施信息系統內部控制審計的基本步驟

（一）善于從業務部門和IT事件推動內部控制體系建設工作

一是業務部門推動，IT風險防控體系建設不僅僅是信息技術部門一個部門的事情，需要所有部門全員參與。一是通過對業務部門的訪談和實地檢查，了解業務部門在重要業務系統使用和日常安全管理方面的情況，發現其管理方面存在的疏漏。二是要重點審計業務部門對敏感信息（如重要客戶信息、資料等）的保護情況，讓業務部門有所觸動，增強其全員參與IT風險防范的意識。三是在問卷調查和現場訪談中將業務部門納入其中，一方面能適時傳導信息科技風險防范需全員參與的理念，另一方面也能將壓力傳導到業務部門，促使其積極主動去關注信息科技風險防控工作。三是事件推動，要善于將突發IT事件作為審計的突破口。既要關注在突發事件發生后處置過程，處置是否得當、及時；更要關注突發事件處置完之后，是否及時對事件的影響程度（特別是分支機構）進行了評估，是否對事件進行了總結，是否對事件處理流程進行了梳理和更新，是否對相關制度進行了完善，是否對相關信息系統或基礎設施逐一進行排查。

（二）要善于借助外力并形成合力

一是要善于借助外力。借助監管部門的機構監管之力，檢查之前要及時與監管部門溝通，了解其關注的重點，讓監管部門了解審計的思路并提出改進意見；借助外部審計之力，每年的外部審計提出的管理建議書是一份非常好的材料，可以增強與外部審計的溝通，有效借助其在信息系統審計方面的資源。如某銀行在2011年至2014年期間，外部審計機構提出了29信息技術方面的管理建議，從外部視角傳遞了在信息技術審計時應該關注的重點或是管理的薄弱環節。借助這些信息，內部審計在開展信息系統審計時，將大大提高針對性，有效配置審計資源，合理安排審計計劃。

二是要善于形成合力。要上下聯動，在對分支行的檢查中，可組成一個檢查小組與總行的檢查組聯合進場，以發揮各小組的優勢，及時共享信息；加強與信息技術部門的聯動，在現場審計之外，非現場監督和日常工作中，應注意收集相關的材料，提前了解與信息系統審計相關的事情。

（三）抓住審計重點，揭示主要風險，強化應急管理

一是抓住檢查重點，揭示主要風險點，通過這些風險點揭示銀行在管理層面上的問題和不足，以達到提升其整體風險管控能力的目的。二是強化應急管理，做到盡職免責。從客觀上講，很多IT風險點不在信息技術部主觀能控制的范圍之內，如非法施工導致通訊或電力中斷，硬件故障，軟件缺陷等，因此強化突發事件應急體系建設就顯得尤為重要。在審計中要高度關注應急機制建設情況，一方面是關注應急預案的制定、應急演練的開展和總結及針對演練出現的問題對預案的修訂等方面的情況；另一方面要重點關注在發生IT突發事件后，對事件的響應和處置是否得當、及時有效，是否對事件影響度進行評估，并根據實戰情況對應急機制進行完善。

在具體的審計過程中，應該梳理出與信息系統審計相關的工作流程圖，便于制訂審計計劃，安排審計時間和人員，主要從三個方面來考慮：

一是信息系統生命周期中的審計重點有：

開發階段：管理架構、制度建設、項目控制、操作風險、測試體系。

·測試上線：系統測試、系統驗收、投產上線

·系統維護：制度建設、管理架構

·系統下線：系統下線

·二是信息系統運行過程中的審計重點有：

·管理制度：職責分離、值班制度、操作管理、人員管理

·訪問控制：物理訪問、邏輯訪問、賬號權限、終端管理、遠程接入

·日志檢查：日志保護、操作日志、錯誤日志

·事件管理：報告流程、臺賬管理、升級管理、問題處置、變更流程、變更評估、變更授權、變更執行、緊急變更

·檔案管理：管理體系、文檔保護、文檔備份、文檔銷毀

·三是信息系統的連續性管理的審計重點有：

·組織建立：組織職責、應急管理團隊、應急管理制度

·預案制訂：預案內容、預案更新、外包應急、預案培訓

·后勤保障：人員保障、物質保障、技術保障、溝通保障

·響應流程：全程記錄、事件報告、通報制度、處置總結

·后續管理：事件評估、響應評估、管理改進

（四）完善的例會制度保障了現場審計的質量

在現場審計過程中，應堅持每日開例會的制度。每天抽出固定時間，審計組所有成員聚在一起，首先分別介紹當日的工作情況，重點介紹審計中發現的問題；然后大家針對這些問題進行討論，決定是繼續追查下去還是到此為止；最后確定明日的工作任務和重點。每日例會制度不僅保障了檢查的進度，而且集思廣益，提高了對發現問題定性的準確度。

四、結束語

信息系統內部控制審計是信息科技風險審計的重要組成部分，在實際的審計過程中很難簡單地獨立出來，只有把信息系統審計放在信息科技風險審計之中，充分發揮全局意識才能真正做好風險防范。因此，只是防范信息系統風險是遠遠不夠的，更重要的是在做好防范信息系統風險的同時做好信息科技風險的防范，發揮信息科技是生產力的作用，用先進的信息技術來防范銀行業金融機構的總體風險，提高內控水平，實現創新和核心競爭力的提升。除此之外，內部審計人員還要以開放的姿態不斷地學習信息科技風險管理的先進經驗，加大創新步伐，形成學習、實踐、創新和超越的不斷循環發展。

參考文獻

[1]審計署計算機審計實務公告第34號，關于印發《信息系統審計指南》的通知.

[2]董大勝，審計技術方法[M]，北京：中國時代經濟出版社，2004.1.

[3]信息系統審計編寫組，信息系統審計[M]，北京：中國時代經濟出版社，2014.2.